Série Smart Card : Etape n°4 : Génération de la carte à puce "Administrateur"

    Après la partie “théorique” avec la PKI et ses gabarits de certificats, passons maintenant à la partie “pratique” avec les cartes à puces. La première carte à générer sera celle de l’administrateur du domaine ou de la PKI (si on a bien activé la séparation des rôles). Dans ce billet, nous allons traiter de deux sujets :

  • La mise à disposition du certificat de signature de demande de carte à puce (et son stockage sur la dite carte)
  • La demande et la signature de son propre certificat d’authentification par carte à puce
  •  

    Petite révolution par rapport à l’ère Windows 2000/2003, la gestion des cartes à puce ne passe plus par le site web de traitement des demandes du rôle ADCS mais par la console MMC “Certificats”.

     

    La mise à disposition du certificat de signature de demande de carte à puce

    Une fois authentifié comme administrateur et mis en place notre console “Certificats”, nous pouvons faire notre demande de certificat. Nous sommes administrateur de la PKI donc autorisé à réaliser un “autoenroll” pour ce gabarit de certificat.

    clip_image001

     

    Etant donné que la demande sera réalisée auprès d’une autorité de certification, il est nécessaire de s’assurer que notre ordinateur est bien connecté au réseau et que nous utilisons un compte utilisateur disposant des privilèges appropriés (administrateur du domaine dans notre cas).

    clip_image002

     

    Avec Windows 2008 R2, il est possible d’avoir plusieurs stratégies d’inscription de certificats. Dans le cas qui nous occupe, nous allons utiliser celle qui est configurée dans l’annuaire Active Directory.

    clip_image003

     

    C’est à partir de maintenant que tout se complique. Même si l’interface le propose, nous n’allons pas demander les deux certificats en même temps. La raison est simple. Il faut déjà disposer du certificat de signature pour obtenir notre certificat d’authentification par carte à puce. Il faut signer notre demande avec!

    clip_image004

     

    Le gabarit de certificat a été configuré pour utiliser la carte à puce pour stocker le certificat. Il faut donc accéder à son magasin privé pour générer entre autre la clé privée et déposer le certificat obtenu auprès de l’autorité de certification.

    clip_image005

     

    Le certificat de signature de carte à puce est maintenant utilisable. Il est sécurisé car il n’est pas stocké sur le poste de travail mais bien sur le carte à puce. Cette mesure est d’autant importante que de nos jours, une bonne partie du parc informatique des entreprises est composé de postes nomades qu’il nous arrive d’oublier dans un bureau, sans surveillance, sans aucune sécurité physique, …

    clip_image006

     

    On peut constater que dans le magasin personnel de notre utilisateur, on dispose bien de notre premier certificat.

    clip_image007

     

    La demande et la signature de son propre certificat d’authentification par carte à puce

    A ce stade, une bonne mesure serait de placer cette carte à puce dans un lieu sécurisé et de supprimer la publication du modèle de certificat ayant permit de réaliser l’opération. Cependant, on va continuer avec notre carte à puce de l’administrateur pour y intégrer le certificat d’authentification par carte à puce.

     

    La demande de certificats s’effectuera toujours depuis la console MMC et le composants logiciels enfichable "Certificats" :

    clip_image008

     

    A ce stade, on va bien demander un certificat de carte à puce. A ce stade, la console nous interdit de continuer car il manque une information essentielle pour générer le certificat.

    clip_image009

    Tout le simplement le certificat de signature que nous avions préalablement positionné sur la carte à puce.

     

    Note : Si on va trop vite, la console MMC a toujours accès à la carte à puce et donc au certificat de signature.

     

    clip_image010

     

    Toutes les informations nécessaires étant maintenant disponibles, on peut continuer. On a bien un certificat de signature pour notre demande de carte à puce.

    clip_image011

     

    Et voila un nouveau certificat pour notre première carte à puce.

    clip_image012

     

    Notre console d’administration des certificats utilisateur nous affiche bien nos deux certificats.

    clip_image013

     

    Pour les fans de la ligne de commande : "certutil -scinfo" et quelques saisies du code PIN plus tard, …

    clip_image014

     

    Et histoire d’être à la page, un petit peu de PowerShell :

    clip_image015

 

Coté contrôleur de domaine, on va trouver une demande de TGT Kerberos. C’est tout à fait normal.

    clip_image001[4]

     

    Ce qui change, c’est- que le TGT a été émit pour une authentification par carte à puce.

    clip_image002[4]

 

Voila notre première carte à puce opérationnelle. Prochaine étape, en délivrer une pour notre gestionnaire informatique en charge de délivrer des cartes à puces aux utilisateurs finaux.

 

Benoîts – Simple And Secure by Design (J’insiste sur le Secure)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.